Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用联邦信息处理标准( FIPS )配置网络安全性

贡献者

对于所有 SSL 连接, ONTAP 均符合联邦信息处理标准( FIPS ) 140-2 的要求。您可以在 ONTAP 中打开和关闭 SSL FIPS 模式,全局设置 SSL 协议以及关闭 RC4 等任何弱密码。

默认情况下, ONTAP 上的 SSL 设置为禁用 FIPS 合规性,并启用 SSL 协议,其中包括以下内容:

  • TLSv1.3 (从ONTAP 9.11.1开始)

  • TLSv1.2

  • TLSv1.1

  • TLSv1.

启用 SSL FIPS 模式后,从 ONTAP 到外部客户端或 ONTAP 外部服务器组件的 SSL 通信将使用 FIPS 兼容的 SSL 加密。

如果您希望管理员帐户使用 SSH 公有密钥访问 SVM ,则在启用 SSL FIPS 模式之前,必须确保主机密钥算法受支持。

注: ONTAP 9.11.1及更高版本对主机密钥算法的支持已发生更改。

ONTAP 版本

支持的密钥类型

不支持的密钥类型

9.11.1及更高版本

ECDSA-SHA2-nistp256

RSA-SHA2-512
RSA-SHA2-256
SSS-ed25519及更高
SSS-DSS
SSS-RSA

9.10.1及更早版本

ECDSA-SHA2-nistp256
SSS-ed25519

SSS-DSS
SSS-RSA

在启用 FIPS 之前,必须使用支持的密钥类型重新配置不具有受支持密钥算法的现有 SSH 公有密钥帐户,否则管理员身份验证将失败。

有关详细信息,请参见 "启用 SSH 公有密钥帐户"

有关SSL FIPS模式配置的详细信息、请参见 security config modify 手册页。

启用 FIPS

建议所有安全用户在系统安装或升级后立即调整其安全配置。启用 SSL FIPS 模式后,从 ONTAP 到外部客户端或 ONTAP 外部服务器组件的 SSL 通信将使用 FIPS 兼容的 SSL 加密。

备注 启用FIPS后、您不能安装或创建RSA密钥长度为4096的证书。
步骤
  1. 更改为高级权限级别:

    set -privilege advanced

  2. 启用FIPS:

    security config modify -interface SSL -is-fips-enabled true

  3. 当系统提示您继续时、输入 y

  4. 如果您运行的是 ONTAP 9.8 或更早版本,请逐个手动重新启动集群中的每个节点。从 ONTAP 9.1.1 开始,不需要重新启动。

示例

如果您运行的是 ONTAP 9.9.1 或更高版本,则不会看到警告消息。

security config modify -interface SSL -is-fips-enabled true

Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

禁用 FIPS

如果您仍在运行较旧的系统配置,并且希望为 ONTAP 配置向后兼容性,则只有在禁用 FIPS 时才能打开 SSLv3 。

步骤
  1. 更改为高级权限级别:

    set -privilege advanced

  2. 通过键入以下命令禁用 FIPS :

    security config modify -interface SSL -is-fips-enabled false

  3. 当系统提示您继续时、输入 y

  4. 如果您运行的是 ONTAP 9.8 或更早版本,请手动重新启动集群中的每个节点。从 ONTAP 9.1.1 开始,不需要重新启动。

示例

如果您运行的是 ONTAP 9.9.1 或更高版本,则不会看到警告消息。

security config modify -interface SSL -supported-protocols SSLv3

Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

查看 FIPS 合规状态

您可以查看整个集群是否正在运行当前安全配置设置。

步骤
  1. 逐个重新启动集群中的每个节点。

    请勿同时重新启动所有集群节点。要确保集群中的所有应用程序都运行新的安全配置,并对 FIPS 开关模式,协议和密码进行所有更改,需要重新启动。

  2. 查看当前合规状态:

    security config show

security config show

          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1_2, TLSv1_1, TLSv1 ALL:!LOW:!aNULL:  yes
                                             !EXP:!eNULL